在现代企业网络架构中,远程访问服务器资源是运维人员的日常需求,Ubuntu Server 作为一款广泛使用的开源操作系统,其稳定性与灵活性使其成为搭建虚拟专用网络(VPN)服务的理想平台,本文将详细介绍如何在 Ubuntu Server 上配置并连接 OpenVPN,包括环境准备、服务端部署、客户端配置以及常见问题排查,帮助你快速建立安全可靠的远程连接通道。
确保你的 Ubuntu Server 系统已更新至最新状态,打开终端执行以下命令:
sudo apt update && sudo apt upgrade -y
安装 OpenVPN 和 Easy-RSA(用于生成证书和密钥):
sudo apt install openvpn easy-rsa -y
安装完成后,我们需要为 OpenVPN 生成证书和密钥,Easy-RSA 提供了一个便捷的脚本框架,复制示例配置文件到本地目录:
make-cadir ~/openvpn-ca cd ~/openvpn-ca
在该目录下,编辑 vars 文件,根据需要修改默认值,例如国家、组织名等,以确保证书的唯一性和安全性:
nano vars
然后执行初始化 CA(证书颁发机构):
source ./vars ./clean-all ./build-ca
接下来生成服务器证书和密钥:
./build-key-server server
系统会提示是否确认签名,输入“yes”即可,之后生成客户端证书(每个客户端都需要一个独立的证书):
./build-key client1
最后生成 Diffie-Hellman 参数(用于加密协商):
./build-dh
所有密钥生成完毕后,将这些文件复制到 OpenVPN 的配置目录(通常为 /etc/openvpn/):
sudo cp ca.crt ca.key dh2048.pem server.crt server.key /etc/openvpn/
现在创建服务端配置文件 /etc/openvpn/server.conf如下(可根据实际网络环境调整):
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3启动 OpenVPN 服务并设置开机自启:
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server
OpenVPN 服务已在后台运行,监听 UDP 1194 端口,如果你的服务器位于公网,需在防火墙(如 UFW)中放行该端口:
sudo ufw allow 1194/udp
对于客户端连接,你需要将上述生成的 ca.crt、client1.crt、client1.key 三个文件打包成 .ovpn 配置文件,
client
dev tun
proto udp
remote your-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3将此文件保存为 client1.ovpn,并在 Windows、macOS 或 Linux 客户端上使用 OpenVPN GUI 或命令行工具导入并连接。
若连接失败,请检查日志文件 /var/log/syslog 或 /var/log/openvpn.log 中的错误信息,常见问题包括证书不匹配、端口被阻断或防火墙规则未生效。
通过以上步骤,你已成功在 Ubuntu Server 上部署并连接了 OpenVPN,实现了安全、加密的远程访问能力,这一方案不仅适用于个人开发测试,也适合中小型企业构建私有云接入体系,记住定期备份证书,并按需更新密钥,以保障长期安全。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
